关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

正文

安全公告编号： CNTA-2018-0025

2018年8月22日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 S2-057远程代码执行漏洞（CNVD-2018-15894，对应CVE-2018-11776）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞验证脚本尚未公开，厂商已发布升级版本修复此漏洞。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。

2018年8月22日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2018-11776），该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时，namespace值未被设置且在上层动作配置（Action Configuration）中未设置或用通配符namespace，可能导致远程代码执行。同理，url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。

上述漏洞存在的代码问题位于DefaultActionMapper这个类的parseNameAndNamespace方法里，如下图所示：

图1 代码分析

当alwaysSelectFullNamespace被设置为true时，namespace的值从uri中获取，由此可知uri是可控的，所以这就直接导致了namespace可控。最终会调用TextParseUtil.translateVariables方法解析Ognl语句。

将namespace污染为$(2333+2333)，可成功带入函数并执行。漏洞利用结果如下图所示：

图2 漏洞利用

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

目前，漏洞影响的产品版本包括但不限于：

Struts 2.3-2.3.34

Struts 2.5-2.5.16

三、漏洞处置建议

目前，Apache公司已发布了新版本（Struts 2.3.35或Struts 2.5.17）修复了该漏洞，CNVD建议用户及时升级最新版本：

请到「今天看啥」查看全文